本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 IAM Identity Center 中的身分驗證工作階段
當使用者登入AWS 存取入口網站時,IAM Identity Center 會建立代表使用者已驗證身分的身分驗證工作階段。
通過身分驗證後,使用者可以存取管理員授予他們使用許可的所有已指派 AWS 帳戶、AWS 受管應用程式和客戶受管應用程式,而無需額外的登入。
身分驗證工作階段的類型
使用者互動式工作階段
使用者登入 AWS 存取入口網站後,IAM Identity Center 會建立使用者互動式工作階段。此工作階段代表使用者在 IAM Identity Center 中的已驗證狀態,並做為建立其他工作階段類型的基礎。使用者互動式工作階段可持續 IAM Identity Center 中設定的持續時間,最長可達 90 天。
使用者互動式工作階段是主要身分驗證機制。它們會在使用者登出或管理員結束其工作階段時結束。這些工作階段的持續時間應根據組織的安全需求仔細設定。
如需設定使用者互動式工作階段持續時間的資訊,請參閱 在 IAM Identity Center 中設定工作階段持續時間。
應用程式工作階段
應用程式工作階段是 IAM Identity Center 透過單一登入建立的使用者與 AWS 受管應用程式 (例如 Amazon Q Developer 或 Amazon Quick Suite) 之間的驗證連線。
根據預設,應用程式工作階段有一小時的生命週期,但只要基礎使用者互動式工作階段仍然有效,系統就會自動重新整理這些工作階段。此重新整理機制可為使用者提供無縫體驗,同時維護安全控制。當使用者互動式工作階段結束時,無論是透過使用者登出或管理員動作,應用程式工作階段都會在下一次重新整理嘗試時結束,通常在 30 分鐘內結束。
使用者背景工作階段
使用者背景工作階段是延長持續時間工作階段,專為需要執行程序數小時或數天而不會中斷的應用程式而設計。目前,此工作階段類型主要適用於 Amazon SageMaker Studio,其中資料科學家可能會執行需要數小時才能完成的機器學習訓練任務。
如需設定使用者背景工作階段持續時間的資訊,請參閱使用者背景工作階段。
Amazon Q 開發人員工作階段
您可以擴展 Amazon Q Developer 工作階段,允許開發人員在 IDEs 中使用 Amazon Q Developer 來維持身分驗證長達 90 天。當您處理程式碼時,此功能可減少登入中斷。
這些工作階段獨立於其他工作階段類型,不會影響使用者互動式工作階段或其他 AWS 受管應用程式。視您啟用 IAM Identity Center 的時間而定,此功能預設可能會啟用。
如需設定延伸 Amazon Q Developer 工作階段的詳細資訊,請參閱 Amazon Q Developer 的延伸工作階段。
IAM Identity Center 建立的 IAM 角色工作階段
當使用者存取 AWS 管理主控台 或 時,IAM Identity Center 會建立不同類型的工作階段 AWS CLI。在這些情況下,IAM Identity Center 會使用登入工作階段,透過擔任使用者許可集中指定的 IAM 角色來取得 IAM 工作階段。
重要
與應用程式工作階段不同,IAM 角色工作階段會在建立後獨立運作。無論原始登入工作階段的狀態為何,它們會保留在許可集中設定的持續時間,最長可達 12 小時。此行為可確保長時間執行的 CLI 操作或主控台工作階段不會意外結束。
IAM Identity Center 中最終使用者工作階段的方法
使用者啟動
當使用者登出 AWS 存取入口網站時,登入工作階段會結束,讓使用者無法存取任何新資源。
不過,現有的應用程式工作階段不會立即結束。相反地,當他們嘗試下一次重新整理並發現登入工作階段不再有效時,他們會在大約 30 分鐘內結束。現有的 IAM 角色工作階段會繼續,直到根據許可集組態過期為止,最長可能在 12 小時後。
管理員啟動
組織中具有 IAM Identity Center 管理許可的任何人,通常是 IT 管理員或安全團隊,都可以結束使用者的工作階段。此動作的運作方式與使用者自行登出的方式相同,可讓管理員在需要時要求使用者再次登入。當安全政策變更或偵測到可疑活動時,此功能很有用。
當 IAM Identity Center 管理員刪除使用者或停用使用者的存取權時,使用者將失去 AWS 存取入口網站的存取權,且無法重新登入以啟動新的應用程式或 IAM 角色工作階段。使用者將在 30 分鐘內失去對現有應用程式工作階段的存取權。任何現有的 IAM 角色工作階段都會根據 IAM Identity Center 許可集中設定的工作階段持續時間繼續。工作階段持續時間上限為 12 小時。
當您結束工作階段時,使用者存取會發生什麼情況
此參考提供 IAM Identity Center 工作階段在採取管理動作時如何運作的詳細資訊。本節中的表格顯示使用者管理動作的持續時間和效果,以及存取 AWS 入口網站、應用程式和 AWS 帳戶 工作階段的許可變更。
使用者管理
此表格摘要說明使用者管理變更如何影響對 AWS 資源、應用程式工作階段和 AWS 帳戶工作階段的存取。
| 動作 | 使用者失去 IAM Identity Center 存取權 | 使用者無法建立新的應用程式工作階段 | 使用者無法存取現有的應用程式工作階段 | 使用者失去對現有 AWS 帳戶 工作階段的存取權 |
|---|---|---|---|---|
| 使用者存取已停用 | 立即生效 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者已刪除 | 立即生效 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者工作階段已撤銷 | 使用者必須再次登入才能重新取得存取權 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 使用者登出 | 使用者必須再次登入才能重新取得存取權 | 立即生效 | 30 分鐘內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
群組成員資格
此表格摘要說明使用者許可和群組成員資格的變更如何影響對 AWS 資源、應用程式工作階段和 AWS 帳戶工作階段的存取。
| 動作 | 使用者失去 IAM Identity Center 存取權 | 使用者無法建立新的應用程式工作階段 | 使用者無法存取現有的應用程式工作階段 | 使用者失去對現有 AWS 帳戶 工作階段的存取權 |
|---|---|---|---|---|
| 從使用者移除的應用程式或 AWS 帳戶 存取權 | 否 - 使用者可以繼續存取 IAM Identity Center | 立即生效 | 1 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 從已指派應用程式或 的群組中移除使用者 AWS 帳戶 | 否 - 使用者可以繼續存取 IAM Identity Center | 1 小時內 | 2 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
| 從群組移除的應用程式或 AWS 帳戶 存取權 | 否 - 使用者可以繼續存取 IAM Identity Center | 立即生效 | 1 小時內 | 12 小時內。持續時間取決於為許可集設定的 IAM 角色工作階段到期持續時間。 |
注意
AWS 存取入口網站 和 AWS CLI 會在您從該群組新增或移除使用者後 1 小時內反映更新的使用者許可。
了解計時差異
-
立即生效 – 需要立即重新驗證的動作。
-
在 30 分鐘到 2 小時內 – 應用程式工作階段需要時間向 IAM Identity Center 檢查並探索任何變更。
-
在 12 小時內 – IAM 角色工作階段會獨立運作,且只會在其設定的持續時間過期時結束。
單一登出
IAM Identity Center 不支援由做為您的身分來源的身分提供者啟動的 SAML 單一登出 (當使用者登出時自動將使用者登出所有連線應用程式的通訊協定)。此外,它不會將 SAML 單一登出傳送至使用 IAM Identity Center 做為身分提供者的 SAML 2.0 應用程式。
工作階段管理的最佳實務
有效的工作階段管理需要深思熟慮的組態和監控。組織應設定適合其安全需求的工作階段持續時間,通常針對敏感應用程式和環境使用較短的持續時間。
當使用者變更角色或離開組織時,實作程序以結束工作階段對於維護安全界限至關重要。應將作用中工作階段的定期審查納入安全監控實務中,以偵測可能表示安全問題的異常行為,例如異常存取模式、非預期的登入時間或位置,或存取正常工作職能以外的資源。
